Graudit забонҳои сершумори барномасозиро дастгирӣ мекунад ва ба шумо имкон медиҳад, ки санҷиши амнияти кодиро мустақиман ба раванди рушд ворид кунед.
Манбаъ: (Маркус Списке)
Санҷиш як қисми муҳими давраи зиндагии таҳияи нармафзор мебошад. Намудҳои зиёди санҷиш вуҷуд доранд, ки ҳар яки онҳо мушкилоти худро ҳал мекунанд. Имрӯз ман мехоҳам дар бораи пайдо кардани мушкилоти амният дар код сӯҳбат кунам.
Аён аст, ки дар воқеияти муосири таҳияи нармафзор таъмини амнияти равандҳо муҳим аст. Дар як вақт, истилоҳи махсуси DevSecOps ҳатто ҷорӣ карда шуд. Ин истилоҳ ба як қатор расмиёти марбут ба муайян ва рафъи осебпазирӣ дар барнома ишора мекунад. Қарорҳои махсуси кушодаасос барои санҷиши осебпазирӣ мувофиқи стандартҳо мавҷуданд , ки намудҳо ва рафтори осебпазириро дар коди сарчашма тавсиф мекунад.
Барои ҳалли мушкилоти амниятӣ равишҳои гуногун мавҷуданд, аз қабили Testing Static Security Application (SAST), Dynamic Security Application Testing (DAST), Testing Interactive Security Applications (IAST), Таҳлили таркиби нармафзор ва ғайра.
Санҷиши амнияти статикии барнома хатогиҳоро дар коди аллакай навишташуда муайян мекунад. Ин равиш кор кардани барномаро талаб намекунад, бинобар ин онро таҳлили статикӣ меноманд.
Ман ба таҳлили коди статикӣ тамаркуз мекунам ва як абзори оддии кушодаасосро барои намоиш додани ҳама чиз дар амал истифода мебарам.
Чаро ман асбоби кушодаасосро барои таҳлили амнияти коди статикӣ интихоб кардам
Якчанд сабабҳои ин вуҷуд доранд: аввал, он ройгон аст, зеро шумо асбоберо истифода мебаред, ки аз ҷониби ҷомеаи одамони ҳамфикр таҳия шудааст, ки мехоҳанд ба таҳиягарони дигар кӯмак расонанд. Агар шумо як дастаи хурд ё стартап дошта бошед, шумо имконияти хуби сарфа кардани маблағро бо истифода аз нармафзори кушодаасос барои санҷиши амнияти пойгоҳи коди худ доред. Дуюм, он зарурати киро кардани як гурӯҳи алоҳидаи DevSecOps-ро аз байн мебарад ва хароҷоти шуморо минбаъд кам мекунад.
Воситаҳои хуби кушодаасос ҳамеша бо назардошти талаботи зиёд барои чандирӣ сохта мешаванд. Аз ин рӯ, онҳо метавонанд қариб дар ҳама гуна муҳит истифода шаванд, ки доираи васеи вазифаҳоро фаро мегиранд. Барои таҳиягарон пайваст кардани чунин асбобҳо бо системае, ки онҳо ҳангоми кор дар лоиҳаҳои худ сохтаанд, хеле осонтар аст.
Аммо вақтҳое мешаванд, ки ба шумо хусусияте лозим аст, ки дар асбоби интихобкардаи шумо мавҷуд нест. Дар ин ҳолат, шумо имкон доред, ки рамзи онро созед ва асбоби шахсии худро дар асоси он бо функсияҳои лозима таҳия кунед.
Азбаски дар аксари ҳолатҳо ба таҳияи нармафзори кушодаасос ҷомеа фаъолона таъсир мерасонад, қарор дар бораи ворид кардани тағирот хеле зуд ва ба таври дақиқ қабул карда мешавад: таҳиягарони лоиҳаи кушодаасос ба фикру мулоҳизаҳо ва пешниҳодҳои корбарон, ба гузоришҳои худ дар бораи онҳо такя мекунанд. хатогиҳои ёфтшуда ва мушкилоти дигар.
Истифодаи Graudit барои таҳлили амнияти код
Шумо метавонед асбобҳои гуногуни кушодаасосро барои таҳлили коди статикӣ истифода баред; барои ҳама забонҳои барномасозӣ ягон воситаи универсалӣ вуҷуд надорад. Таҳиягарони баъзеи онҳо тавсияҳои OWASP-ро риоя мекунанд ва кӯшиш мекунанд, ки ҳарчи бештар забонҳоро фаро гиранд.
Дар ин ҷо мо истифода хоҳем кард , як утилитаи оддии сатри фармон, ки ба мо имкон медиҳад осебпазириро дар пойгоҳи коди худ пайдо кунем. Он забонҳои гуногунро дастгирӣ мекунад, аммо ба ҳар ҳол маҷмӯи онҳо маҳдуд аст. Graudit дар асоси утилитаи grep таҳия шудааст, ки замоне таҳти иҷозатномаи GNU бароварда шуда буд.
Воситаҳои шабеҳ барои таҳлили кодҳои статикӣ мавҷуданд - Асбоби Rough Auditing for Security (RATS), Securitycompass Web Application Analysis Tool (SWAAT), flawfinder ва ғайра. Аммо Graudit хеле чандир аст ва талаботи ҳадди ақали техникӣ дорад. Бо вуҷуди ин, шумо шояд мушкилоте дошта бошед, ки Graudit онҳоро ҳал карда наметавонад. Пас шумо метавонед имконоти дигарро дар ин ҷо ҷустуҷӯ кунед .
Мо метавонем ин асбобро ба як лоиҳаи мушаххас муттаҳид созем ё онро барои корбари интихобшуда дастрас кунем ё ҳамзамон онро дар ҳама лоиҳаҳои худ истифода барем. Дар ин ҷо низ чандирии Graudit ба бозӣ меояд. Пас биёед аввал репоро клон кунем:
$ git clone https://github.com/wireghoul/grauditАкнун биёед барои Graudit пайванди рамзӣ эҷод кунем, то онро дар формати фармон истифода барад
$ cd ~/bin && mkdir graudit
$ ln --symbolic ~/graudit/graudit ~/bin/grauditБиёед ба .bashrc тахаллус илова кунем (ё ҳар файли конфигуратсияе, ки шумо истифода мекунед):
#------ .bashrc ------
alias graudit="~/bin/graudit"Бозсозӣ:
$ source ~/.bashrc # OR
$ exex $SHELL
Биёед тафтиш кунем, ки насбкунӣ бомуваффақият буд:
$ graudit -hАгар шумо ягон чизи монандро бинед, пас ҳама чиз хуб аст.
Ман яке аз лоиҳаҳои мавҷудаи худро санҷидаам. Пеш аз ба кор андохтани асбоб, ба он бояд пойгоҳи додаи мувофиқ ба забоне, ки лоиҳаи ман дар он навишта шудааст, гузаронида шавад. Пойгоҳи додаҳо дар папкаи ~/gradit/signatures ҷойгир шудаанд:
$ graudit -d ~/gradit/signatures/js.dbҲамин тавр, ман ду файли js-ро аз лоиҳаи худ санҷидам ва Graudit маълумотро дар бораи осебпазирии коди ман ба консол нишон дод:
Шумо метавонед лоиҳаҳои худро ҳамин тавр санҷед. Шумо метавонед рӯйхати пойгоҳи додаҳоро барои забонҳои гуногуни барномасозӣ бинед .
Афзалиятҳо ва нуқсонҳои Graudit
Graudit бисёр забонҳои барномасозиро дастгирӣ мекунад. Аз ин рӯ, он барои доираи васеи корбарон мувофиқ аст. Он метавонад ба таври кофӣ бо ҳама аналогҳои ройгон ё пулакӣ рақобат кунад. Ва хеле муҳим аст, ки то ҳол дар лоиҳа такмилҳо идома доранд ва ҷомеа на танҳо ба таҳиягарон, балки ба корбарони дигар, ки кӯшиши фаҳмидани асбобро доранд, кӯмак мекунад.
Ин як асбоби қулай аст, аммо то ҳол он наметавонад ҳамеша дақиқ муайян кунад, ки мушкилот бо як пораи шубҳаноки код чист. Таҳиягарон такмил додани Graudit-ро идома медиҳанд.
Аммо дар ҳар сурат, ҳангоми истифодаи чунин асбобҳо ба мушкилоти эҳтимолии амният дар код таваҷҷӯҳ кардан муфид аст.
Оғоз…
Дар ин мақола, ман танҳо яке аз роҳҳои зиёде барои дарёфти осебпазириро дидам - testing static application security. Гузаронидани таҳлили коди статикӣ осон аст, аммо ин танҳо ибтидо аст. Барои гирифтани маълумоти бештар дар бораи амнияти пойгоҳи коди худ, ба шумо лозим аст, ки намудҳои дигари санҷишро ба давраи ҳаёти таҳияи нармафзори худ ворид кунед.
Дар бораи ҳуқуқи реклама
ва интихоби дурусти нақшаи тарофавӣ ба шумо имкон медиҳад, ки бо мушкилоти ногувор аз рушд камтар парешон шавед - ҳама чиз бе нокомӣ ва бо вақти хеле баланд кор мекунад!
Манбаъ: will.com